本日2月1日から投げ銭サービス「Osushi」がリリースしました。今回は「Osushi」の詳細や危険なのか!?脆弱性や不具合など徹底解説しています。
コンテンツ
投げ銭サービス「Osushi」とは
2月1日からリリースされた今話題の投げ銭サービス「Osushi」。
「Osushi」とは何か役に立つ事をした人に「お寿司」ならぬお金を送ることが出来るサービスです。
その何かとは「サイトなどに役立つ記事を書いた」「オープンソース開発に貢献」「イベントで良い発表をした」などの人が対象で、その人にお寿司をプレゼントすることが出来るサービスです。
プレゼント出来る「お寿司」とは
プレゼント出来る「お寿司」とは実際に本当の「お寿司」をプレゼント出来る訳ではなく、お金をプレゼントすることが出来ます。
1貫100円となっており、最大10貫(1000円)を1回で送ることが出来ます。
PayPayで投げ銭ができるように?違法じゃない?詳細や使い方など徹底解説
無料の「お茶」とは
無料で「お茶」をプレゼントする事もできます。
「お茶」はお金が届く訳ではなく、メッセージが届きます。お金は送らずに「感謝の気持ちを伝えたい」「良かった所を褒めたい」「アドバイスしたい」などの場合にオススメです。
手数料について
現時点では「Osushi」の手数料は「送る側→10%」「受け取る側→200円引かれる」という仕組みです。例えば10貫(1000円)分送りたい場合は送る側は1100円振り込んで、受け取る側は800円受け取るということになります。
今後変わる可能性も大いにあります。
なぜ「お寿司」なのか
お金ではなく「お寿司」や「お茶」に見立てることにより、お金を渡すという精神的ハードルが下がるといった点で「お寿司」にしているようです。
そしてエンジニア界のコミュニケーション活性化の意味も兼ねているそうです。
投げ銭サービス「Osushi」は危険なのか!?
投げ銭サービス「Osushi」がリリースされ、危険性や脆弱性について話題になっています。
早速ユーザーの間では、
- 「第三者によってプロフィールを書き換えられる脆弱性がある」
- 「口座情報など閲覧、編集出来る問題がある」
- 「他の人と被っているのに登録出来て、他の人の情報が参照出来る」
- 「自分のプロフィールに飛ぼうとすると、同じIDにしたユーザーに飛んでしまう」
- 「口座番号に数字以外を入れても保存出来る」
- 「退会出来ない」
- 「ソースコード覗き放題」
- 「資金決済法に違反してないのか」
- 「カード情報が消せない」
- 「口座情報のバリデーションが緩い」
などユーザーの困惑の声が広がっています。現時点では退会リンクが用意出来ていないようで、近日中に公開出来るようです。
サービスの脆弱性や危険性についての声がかなり上がっています。確かに現時点では、上記の不具合や他人と同じIDでも登録出来るといった不具合が多発しています。
リリースして間もないので、長い目で見て今後の改善を期待しましょう。※追記→現金化不能で再始動
ユーザーの声
(手法のツイートが散見されるので注意喚起の意味で)
Osushi、口座情報を含めた任意のユーザの情報を閲覧・編集できる問題があるので、口座情報をすでに登録してしまっている人は削除したほうがいいです。— らまっこ (@llamakko_cafe) February 1, 2018
osushiという新しい投げ銭システム、どうもIT業の人たちの呟きを見るに「webサービスのシロウトがいきなりお金を扱うシステムを作ったせいで、あちこちガタガタでセキュリティ的にヤバい上に違法の可能性がある」ということのようで、面白そうでもしばらく遠巻きに様子見た方が良さそう。
— PKA (@PKAnzug) February 1, 2018
Osushiのここがすごい!
・投げ銭を受け取れるOsushiのここがダメ!
・ID/プロフィール欄/口座情報のバリデーションがガバガバ
・他の人の口座情報が閲覧/編集できる
・カード情報消せない
・退会できない
・セキュリティー的にアウト
・法律的にアウトまさに時すでにOsushi…
— おばけ (@obakemoji) February 1, 2018
退会のリンクないのに利用規約に「ユーザは、当社が定める方法により、いつでも「Osushi」の利用を終了し、Osushiから退会することができます」って書けるのすごない?
— ばんくし (@vaaaaanquish) February 1, 2018
osushi, idをnullにしたら他の人と被ってるのに登録できて他の人参照できてヤバイんだけど?
— はれうどん (@HareudonDon) February 1, 2018
osushi、他人のtokenを手元で作れる気がする。とりあえず、同僚のプロファイルを書き換えることに成功してしまった...
— gql`quramy { name }` (@Quramy) February 1, 2018
まじでソースコード全部見放題だ Osushi pic.twitter.com/CR5Dym5MUB
— 杉田賢人→立教の開発力上げたい (@sugiken_bike) February 1, 2018
Osushi、きららファンタジア同様にソースコード覗き放題+金が関わるサービスなのにセキュリティが穴どころか無いに等しい+そもそもこのサービス自体が日本国法律に違反してる可能性大とか久々の大型新人だと思わないかね
— ろいつい (@roy_twi) February 1, 2018
Osushi(https://t.co/ytvuK91ITQ)という投げ銭サイトが少しだけ話題になっているようですが、
どういうわけかユーザー名のサニタイズが全くされておらず、
結果として「特殊文字を投げ込むと死ぬ」「なりすましも簡単」といった凄まじい欠陥が存在しているようで……— YSR@穢翼完遂しました (@YSRKEN) February 1, 2018
Paypalの寄付機能は日本の法律で禁止されてるから利用できないけど、https://t.co/Iub4K47knHはなぜ良いのか
— kouhei (@39ff) February 1, 2018
Osushi,退会するシステムなくない?
もしかして一生退会できない?— トオルン (@toorun12) February 1, 2018
osushiのガバガバ感すげえなぁ。
— みたらい (@mitarai_TDF) February 1, 2018
編集後記
本日2月1日から投げ銭サービス「Osushi」がリリースしました。今回は「Osushi」の詳細や危険なのか!?
脆弱性や不具合など徹底解説させていただきました。
確かに現時点では、上記の不具合や他人と同じIDでも登録出来るといった不具合が多発しています。しかしとても新しい発想のサービスですし、リリースして間もないので長い目で見て今後の改善を期待しましょう。
